Zaangażowany w różnorodne zespoły projektowe urządzeń konsumenckich, które stanęły przed wyzwaniem spełnienia odpowiednich norm bezpieczeństwa, w tym europejskich norm IEC 60730. Większość firm chce projektować produkty na rynek globalny, dlatego zespół projektowy jest zwykle odpowiedzialny za spełnienie najbardziej rygorystycznych światowych standardów w zakresie projektowania wszystkich urządzeń. Możesz oczywiście użyć dowolnego mikrokontrolera (MCU) i odpowiednich produktów kompatybilnych z oprogramowaniem wspierającym rozwój układów scalonych. Jednak coraz większa liczba MCU obejmuje funkcje specyficzne dla sprzętu bez konieczności stosowania zewnętrznych komponentów w celu osiągnięcia zgodności. Zobaczmy, czy potrzebujesz zgodności z zabezpieczeniami, a także niektórych zaprojektowanych, aby utorować drogę do zgodności MCU.
W szczególności norma IEC 60730-1 rozwiązuje zastosowanie systemów sterowania opartych na mikrokontrolerach opartych na Załączniku H niniejszej specyfikacji. Większość konsumenckich urządzeń elektrycznych, takich jak pralki, lodówki i podobne produkty, należy do klasy B. Celem tego standardu jest zapewnienie, że awaria systemu nie spowoduje niebezpiecznej pracy urządzenia. Na przykład awaria systemu nie powinna powodować niebezpiecznej temperatury, która może zaszkodzić operatorowi lub spowodować pożar.
Należy również zauważyć, że koncepcja normy IEC 60730 i technologia, które zostaną tutaj omówione, mogą być stosowane poza aplikacjami urządzeń konsumenckich. W rzeczywistości wiele rodzajów systemów wbudowanych (niekoniecznie podlegających zarządzaniu normami regulacyjnymi) wymaga ochrony przed awarią systemu.
Zwykle w systemach opartych na MCU zgodność z normą IEC-60730 zależy od kodu aplikacji dodanego do oprogramowania układowego. Jednak w celu zabezpieczenia centrum funkcji sprzętowych MCU można uprościć, eliminując tworzenie oprogramowania układowego komponentów zewnętrznych, poprawiając wydajność i redukując koszty.
Metody zgodności Istnieją trzy główne sposoby projektowania systemów opartych na mikrokontrolerach zgodnie z normami IEC 60730. Najbardziej złożona architektura wykorzystująca tak zwany dwukanałowy, podwójny MCU równolegle i obwód sterujący oraz posiadająca funkcję porównawczą zapewnia, że dwa kanały dają takie same wyniki. Jednak ta metoda jest ogólnie uważana za zbyt kosztowną dla rynku konsumenckiego. Następnie zdecydowaliśmy się ograniczyć koszt dwóch metod jednokanałowych. Możesz przetestować system w momencie wytwarzania produktu, aby zapobiec nieosiągnięciu zgodności. W przeszłości zwykle wybierano metodę testowania produkcji, jest to najprostsza i najtańsza alternatywa. Obecnie coraz większa liczba producentów produktów decyduje się na dodanie funkcji regularnego autotestu, aby upewnić się, że produkt nie zawiedzie w terenie, na tym właśnie podejściu się skupimy.
Rzeczywiste uwierzytelnienie bezpieczeństwa jest przeprowadzane na urządzeniu terminala, ale potencjalne błędy w Załączniku H dotyczą MCU. W rzeczywistości akcesoria zawierają szczegółową listę elementów wewnętrznych MCU, a związaną z nimi awarię należy testować podczas regularnego autotestu, a także w pewien sposób łatwość obsługi. Np. rejestr autotestu musi zostać wykryty w karcie lub liczniku programu (PC) wartość błędu, wykrycie błędu pamięci jednobitowej i wykrycie nieprawidłowej operacji przerwania - w tym przerwanie nie występuje, przerwanie występuje zbyt często . Dodatkowe elementy do rozwiązania awarii komunikacji i poprawnej pracy zegara taktowania, kolejność operacji.
Przykłady pralki Teraz spójrzmy na MCU (w szczególności powszechnie określany jako cyfrowy kontroler sygnału (DSC) jest obsługiwany przez MCU DSP) Kilka przykładów uproszczenia zgodności. Figura 1 przedstawia schemat blokowy projektu opartego na pralce Texas Instruments (TI) DSC. Ten schemat dotyczy stałoprzecinkowych DSC serii TMS320C24x, TMS320F282x oznaczonych jako seria DSC oraz serii TMS320F2802x / 2806x Piccolo stałoprzecinkowych i zmiennoprzecinkowych DSC. Wszystkie opierają się na rdzeniach DSC 32 TI C2000, które mogą być przetwarzane w ramach jednego projektu procesora DSP (głównie sterowanie silnikiem) i zadaniami sterowania systemem. Może to być, ale w każdym przypadku, elementy IEC-60730 C2000 DSC są przechwytywane na oddzielnym MCU w połączeniu z kontrolerem systemu w DSC.
Rysunek 1: Seria DSC TI C2000 zapewnia niezależny zegar i inne funkcje, aby uprościć projekt systemu zgodnie ze standardem IEC-60730.
TI DSC zawiera kilka elementów wspierających zgodność. Na przykład oscylator chipowy IC zawiera podwójny. Prowadzenie głównego MCU i systemów operacyjnych. Drugi raz może być wykorzystany jako grupa kontrolna okresowo wykonywana niezależnie od wdrożonego autotestu. Układ scalony zawiera ponadto obwód monitorujący, monitorujący napięcie zasilania, które może spowodować usterkę opisaną w normie. Ponadto DSC zawiera również rejestr ochrony przed zapisem.
Oczywiście wiele aplikacji nie wymaga możliwości przetwarzania urządzeń 32-bitowych zapewnianych przez DSC. Na szczęście dostawcy MCU oferują zgodne ze standardem IEC-60730 funkcje tradycyjnych 8-bitowych i 16-bitowych rodzin MCU.
Przerwanie w czasie rzeczywistym Freescale Na przykład, Freescale obsługuje te funkcje w swoim MCU MC9S08AWx, MCU jest częścią szerokiej gamy 9-bitowej rodziny MC08S8. 9S08AW MCU zawiera funkcję przerwania w czasie rzeczywistym (RTI), dzięki czemu można uzyskać wiele funkcji autotestu. Rysunek 2 przedstawia funkcję RTI. Na górze rysunku, rejestr kontroli stanu przerwań czasu rzeczywistego (SRTISC) zawiera 3 - Wybór opóźnienia przerwania w czasie rzeczywistym (RTIS) - Ustawia okresowe przerwanie procesora. Odstęp może wahać się od 8 ms do 1.04 sekundy. Zintegrowane przerwanie z oscylatora RC o częstotliwości 1 kHz, niezależne od zegara procesora.
Rysunek 2: Użyj funkcji Freescale zwanej funkcją przerwań w czasie rzeczywistym (RTI) podczas uruchamiania programu obsługi przerwań, systemu sprawdzania, czy występuje błąd zdefiniowany przez IEC-60730.
Funkcja autotestu jest zaimplementowana w procedurze obsługi przerwań (ISR) generowanej przez RTI. Na przykład ISR może sprawdzać wartość komputera podczas każdej iteracji. Jeśli komputer pozostaje niezmieniony w trzech kolejnych iteracjach, ISR może przyjąć kartę MCU i podjąć środki ostrożności w cyklu oprogramowania.
RTI pozwala również monitorować częstotliwość zegara ISR. ISR po prostu używa czasu integracji, aby pobrać znacznik czasu dla każdej usługi przerwania i zweryfikować, czy każdy kolejny odczyt jest prawidłowy. Co więcej, zaimplementowany na chipie z wbudowaną funkcją wewnętrznego generatora zegara, test może być wolny lub szybki, lub utrata zegara zegara procesora. ISR aktywuje blokadę RTI i może monitorować rejestry funkcji wykrywania utraty zegara.
Freescale obsługuje wiele różnych funkcji związanych z bezpieczeństwem, w tym metodę sprawdzania dokładności pamięci. Ponadto firma obsługuje również 16-bitową serię DSC MC56Fx z funkcjami zgodnymi z normą IEC-60730.
W całej architekturze MCU IEC 60730 Jednocześnie MCU Renesas w terenie może mieć najbardziej rozbudowaną z różnych architektur, głównie dlatego, że firma sprzedaje tradycyjne MCU Hitachi, Mitsubishi i NEC. Biznes mikroelektroniczny. Jednak firma ma bardzo spójne funkcje zgodności bezpieczeństwa w całym portfolio produktów.
Watchdog timer (WDT) jest kluczowym elementem w większości przypadków, w których spełnione są normy bezpieczeństwa. Renesas dojrzał 8 i 16 R8C, M16C, 8 i 16 bitów 32-bitową rodzinę H8 i SuperH MCU osiągnięto niezależnie od WDT źródła zegara procesora.
Renesas nadal utrzymuje solidną obsługę WDT dla nowszych 16-bitowych i 32-bitowych serii RX rodziny RL78 MCU. Ponadto firma z czasem dodała inne funkcje sprzętowe. Na przykład wprowadzenie bloku obliczeniowego M16C CRC (Cyclic Redundancy Check), który jest niezależny od działania procesora. CRC może być używany do wykrywania błędów komunikacji i pamięci.
Serie RL78 i RX obsługują również CRC i dodają inne funkcje. Na przykład RL78 z wykrywaniem parzystości pamięci RAM, funkcja kontroli dostępu do pamięci ustawia częstotliwość zegara i funkcje monitorowania. RX zawiera podobną serię funkcji autodiagnostyki oraz funkcję konwertera danych.
Projekt bezpieczeństwa Jeśli następne wymagania projektowe mają zapewnić bezpieczną metodę stanu błędu wyjściowego, należy rozważyć, w jaki sposób dostawcy MCU spełniają wymagania normy IEC-60730. W rzeczywistości wszyscy dostawcy MCU przyjęli politykę IEC-60730, wybór MCU z funkcją zgodności zabezpieczeń sprzętowych może obniżyć rachunki materiałowe systemu, co skutkuje korzyściami w zakresie kosztów, mocy i wydajności. Ponadto dostawcy MCU zazwyczaj dostarczają przykładowy kod, aby spełnić wymagania normy IEC-60730, kod znacznie przyspieszy działanie produktu końcowego zaprojektowanego tak, aby bezpiecznie wytrzymać kod błędu lub sprzęt systemowy.
Nasze inne produkty:
